Skip to main content

Schrems II

TL;DR

Schrems II to nazwa nadana sprawie prowadzonej przez ETS (Europejski Trybunał Sprawiedliwości), która opierała się na fakcie, że amerykańskie firmy nie są w stanie zapewnić odpowiednich standardów ochrony danych osobowych. W konsekwencji przekazywanie danych osobowych między UE a USA stało się nielegalne, a porozumienie Privacy Shield między tymi krajami stało się nieaktualne.

Co oznacza termin Schrems II?

Schrems II to ogólna nazwa sprawy w Europejskim Trybunale Sprawiedliwości, który 16 lipca 2020 r. wydał orzeczenie na korzyść Maxa Schremsa i doprowadził do unieważnienia Tarczy Prywatności UE-USA. Doprowadziło to do tego, że korzystanie z usług z USA, które dawałyby tym usługom dostęp do danych osobowych obywateli UE, stało się nielegalne dla każdego rodzaju podmiotu przetwarzającego dane, bez pełnego wyjaśnienia ryzyka. Konsekwencje były bardzo poważne, do tego stopnia, że niektóre duże firmy amerykańskie (np. Facebook) rozważały całkowite zaprzestanie działalności w UE.

Poprzednia sprawa, znana jako Schrems I, wszczęta przez tę samą osobę, doprowadziła w 2015 r. do podobnego rozstrzygnięcia. Decyzja ETS w sprawie Schrems II opierała się na argumencie, że - zwłaszcza ze względu na amerykańskie przepisy, takie jakCLOUD Act- nie ma sposobu na zagwarantowanie prywatności danych osobowych, jeśli są one przetwarzane przez amerykańskie firmy. Agencje federalne za pomocą nakazu zawsze mogą zmusić firmy przetwarzające dane, takie jak Google czy Facebook, do ujawnienia danych osobowych użytkowników, bez ich zgody. Nie ma przy tym znaczenia, gdzie fizycznie znajdują się serwery zawierające te dane. Dlatego każdy obywatel UE wchodzący na stronę internetową hostowaną w USA lub stronę, która korzysta z aplikacji firm trzecich zarządzanych przez firmy amerykańskie (np. Google Analytics), musi być odpowiednio poinformowany o wszystkich implikacjach prawnych związanych z przekazywaniem danych, a także o wszystkich zagrożeniach.

Więcej szczegółów na temat konsekwencji Schrems II można znaleźć w tym przeglądzie. Podsumowując, są to:

  • właściciele stron internetowych odwiedzanych przez użytkowników z UE nie mogą przechowywać danych poza UE, chyba że prawo tego kraju zapewnia odpowiedni poziom ochrony danych
  • wszelkie usługi stron trzecich, z których korzysta dana witryna, również muszą zapewniać ochronę danych, a zatem nie mogą mieć siedziby w USA. Usługi te mogą obejmować: narzędzia do analizy strony internetowej, narzędzia do zarządzania relacjami z klientami, usługi reklamowe, narzędzia do czatowania, narzędzia do wglądu w sytuację użytkowników itp.
  • lista amerykańskich firm, które były zwolnione z przepisów na podstawie Tarczy Prywatności, nie działały już legalnie
  • banery zgody muszą zawierać konkretne informacje o plikach cookie, a także przepisy dotyczące przekazywania danych